Продолжаем обозревать кибертрендами уходящего года и прогнозы | SecAtor

Продолжаем обозревать кибертрендами уходящего года и прогнозы на будущее от Positive Technologies: новый подгон сделали исследователи из экспертного центра безопасности.

Из главного:

- Расследование инцидентов и ретроспективный анализ: бизнес стал обнаруживать атаки быстрее

Спрос на проекты по расследованию инцидентов и ретроспективному анализу атак остается стабильно высоким, однако изменилась его структура.

Наибольшее количество обращений поступало от ИТ-компаний и госорганизаций: на их долю пришлось по 24% атак. 

Медианное время от начала инцидента до его обнаружения сократилось до 9 дней. Самая продолжительная кибератака длилась 3,5 года, а самая короткая - всего сутки.

В 43% компаний была выявлена деятельность известных APT, а более половины изученных инцидентов (55%) привели к реальному нарушению бизнес-процессов.

В 36% случаев исходной точкой являлась компрометация бизнес-приложений на периметре организации, при этом доля атак через доверительные отношения с подрядчиком увеличилась до 28%.

Основными причинами успешных проникновений стали недостаточная сегментация сети (24%), использование устаревшего ПО (23%) и отсутствие двухфакторной аутентификации (21%).

- Угрозы «в дикой природе»: массовые атаки и возвращение уязвимостей нулевого дня

В рамках исследований и киберразведки Позитивы в 2025 году отправили компаниям почти в четыре раза больше уведомлений о том, что они могли стать целью киберпреступников, чем годом ранее.

Если в 2024 году атаки были сконцентрированы в основном на оборонном секторе и госуправлении, то теперь под удар попали практически все отрасли.

Наибольший рост угроз зафиксирован в ИТ и промышленности. Также существенно увеличилось давление на ритейл, транспорт, на госкомпании и оборонный сектор.

Данные по числу уведомлений об инцидентах (данные по России) составили: всего атак - 168 (в 2024 - 45), в том числе известных APT-группировок - 135 (21).

Рост числа уведомлений среди прочего связан с переходом хакеров к массовым атакам на различные отрасли российской экономики и с появлением новых агрессивных группировок.

Наибольшую активность проявляли злоумышленники из Thor, PhantomCore, Fluffy Wolf и Cloud Atlas, эти группировки в основном нацелены на кражу или уничтожение данных.

Кроме того, продолжился рост числа целевых атак. Атакующие вновь начали использовать 0-day в атаках против российских компаний.

В частности, Team46 применила многоступенчатую уязвимость в браузере Google Chrome, а злоумышленники из GOFFEE эксплуатировали баг в архиваторе WinRAR.

Отдельно можно выделить появление нового типа кейлоггера - программы, перехватывающей учетные данные при входе на серверы Microsoft Exchange.

- Тенденции ВПО в опенсорсе PyPI и NPM

В экосистеме PyPI в 2025 году зафиксирован значительный рост, количество вредоносных пакетов увеличилось на 54% (514 против 333 в 2024 году).

Среди ключевых трендов - активное использование автоматизации для публикации пакетов, преобладание тайпсквоттинга, а также разработка вредоносного ПО с помощью языковых моделей.

Основными целями остаются кража криптовалюты, переменных окружения, браузерных паролей и системных данных.

В NPM в 2025 году - наоборот, снизилось почти в 5 раз по сравнению с предыдущим годом.

Главной целью злоумышленников остается кража информации, причем особый упор делается на криптовалюту.

Другие подробности и тренды - в отчете.